是否可以从内存中加载已签名的Windows驱动程序,而文件不会接触磁盘?如果可能的话,这是微不足道的,还是有克服的障碍。为了明确起见,驱动程序有时可能在磁盘上,但是处于编码状态。
例如,我知道可以从内存中解码有效负载并将其注入到另一个正在运行的进程中,但是从技术上讲,这是Windows的“功能”,因此我不确定将这些内容加载到其中时是否如此容易内核。
[如果有可能,为来源提供奖励积分。我所有的搜索都变成了人们互相呼唤白痴和恶意软件作者,却没有真正弄清技术上是否可行。
我的用例是md5sum检测,因为要将驱动程序加载到64位Windows系统上,必须对其进行签名,因此哈希值是不可变的。如果可以从内存加载驱动程序,那么监视文件系统不足以满足我的需求。
否,驱动程序必须在服务管理器中具有一个条目才能指向某个bin文件。这是Service registry
的一部分我知道windbg可以替换驱动程序的映像,但是它也可以使用map files从内核调试器中替换]